數字身份在商業銀行個人客戶盡職調查中的應用探究

寧敏

摘 ? 要：“數字身份”作為數字時代的通用基礎設施，正在受到全球各國政府的高度重視。本文結合“數字身份”的概念及初步應用，探索性地提出將“數字身份”應用于我國商業銀行反洗錢個人客戶盡職調查，分析其在現實應用方面存在的問題，借鑒國外“數字身份”應用于客戶盡職調查的先進經驗，提出了健全制度體系、構建數字身份信息統一平臺、將“數字身份”應用到商業銀行個人客戶盡職調查的各個環以及加強人才培養和儲備等相關建議。

關鍵詞：數字身份;商業銀行;個人客戶盡職調查

DOI：10.3969/j.issn.1003-9031.2020.06.012

中圖分類號：F831.2 ? ? ?文獻標識碼：A ? ? ? ? ?文章編號：1003-9031（2020）06-0075-08

一、引言

“數字身份”作為數字時代的通用基礎設施，正在受到全球各國政府的高度重視。2019年7月1日，我國擔任FATF（金融行動特別工作組）主席國，指出要充分利用數字身份應用等新技術帶來的機遇，使用“數字身份”進行客戶的身份識別和驗證，推動反洗錢工作智能化。然而，我國數字化轉型過程中還存在著數字資源開發利用能力不足、數字基礎設施尚不完善、數字社會治理面臨挑戰等諸多問題。商業銀行作為洗錢犯罪的主要渠道在我國反洗錢工作中居于核心地位，對數字身份的應用也較為迫切。為此，本文結合“數字身份”在商業銀行客戶盡職調查應用的必要性及當前存在的問題入手，借鑒國外“數字身份”應用于客戶盡職調查的先進經驗，探索性地提出將“數字身份”應用到商業銀行個人客戶盡職調查方面的具體思路和建議。

二、文獻綜述

（一）“數字身份”的概念

國內外一些學者對于數字身份的定義主要有兩類，一是根據數字身份包含的信息來定義，二是根據數字身份的使用情境來定義。Julian Kinderlere（2012）將數字身份定義為一組區別于其他人或實體的數據，是關于一個人或實體所有在數字上可得的信息的總和。劉千仞、薛淼等（2019）指出數字身份分為廣義和狹義兩種，狹義的數字身份僅是數字賬號，廣義的數字身份涉及互聯網上進行的各項活動，不僅包括人、公司的身份，甚至還包括物品的身份。FATF對“數字身份”主要有兩個方面的解釋，一是以數字化或“非物質化”的形式將個體可識別地刻畫出來，即在“現實世界”中通過設立標識的方法來驗證個體身份，為需要事先將所需要的信息登記并進行核實，其目的將電子身份和真實人員的信息聯系起來。二是通過個人的線上活動產生的數據信息來確認個人身份，如登錄各類網站用戶名及密碼、微信與QQ等線上社交軟件信息、瀏覽各類網站記錄、發表各類評論、在線搜索記錄、歷史購買記錄、游戲、音頻和視頻播放等，綜合這些不同屬性的信息以構成個人數字身份相對完整的數據，來對個體身份進行認定。

（二）數字身份的初步應用研究

當前我國“數字身份”還處在以eID為主流的初級階段，這是目前相對成熟的一種應用。嚴則明（2014）提出eID即以密碼技術為基礎，以智能安全芯片為載體，由“國家公民網絡身份識別系統”簽發給公民的網絡身份標識，將該標識與身份查詢渠道以及身份證信息綁定，實現相關證件的第三方核實驗證。胡傳平（2015）指出eID可滿足民眾在網絡交易和虛擬財產安全保障及個人隱私保護等方面的迫切需求，并將其應用到民生服務、政務服務和商業服務等領域。賀鑫焱和劉海龍（2018）對eID與人社聯合認證簽發電子社保卡的應用實踐進行研究，指出可將eID從政務推廣應用到居民日常生活領域。郭建偉、燕娜和陳佳宇（2018）探析了eID在網絡應用領域的前景，指出eID可應用于網銀、互聯網金融等領域。劉千仞、薛淼等（2019）指出當前的數字身份系統存在操作繁瑣、信息易泄露、容錯性低等缺點，指出數字身份未來可應用于政府、金融、民生、醫療、交通等多個領域。

（三）數字身份應用于反洗錢方面的研究

湯俊、王妍等（2016）以大數據技術和反洗錢工作為主要研究對象，指出當前反洗錢工作盡職調查存在的問題，提出構建反洗錢大數據系統將反洗錢犯罪活動的發生概率降至最低限度。陳思、邵楊和蔡真（2018）梳理了FATF于2018年發布的《數字身份界定及相關建議》探索性地提出將數字身份納入我國反洗錢監管。張奕卉和魏凱（2019）指出加拿大、美國等發達國家將數字身份應用于客戶的身份驗證與識別。FATF（2019）發布《數字身份系統使用指南》意見征詢，旨在幫助各國政府、受監管實體及其他利益相關方判斷如何使用數字身份系統實施FATF建議10項下某些客戶盡職調查要素。

綜合國內外相關研究來看，國外研究主要站在發達國家的立場上進行理論分析，而國內學者主要著重于提出數字身份在各個場景下的應用。隨著FATF在2018年2月開始提出將數字身份應用于金融機構反洗錢盡職調查，并在2019年10月就數字身份應用于反洗錢盡職調查公開征求意見，數字身份應用于金融機構反洗錢盡職調查已成為當前重要的研究課題。由于我國開展研究時間相對較短，在數字身份應用于反洗錢盡職調查的工作中缺乏具體了解和清晰認識，而商業銀行相較于其他金融機構對數字身份的應用具有更迫切的需要，為此，本文以商業銀行為研究主體，從當前存在的問題入手，并借鑒國外先進經驗，對我國將數字身份應用于商業銀行反洗錢盡職調查提出建議。

三、“數字身份”應用于客戶盡職調查的必要性及問題

據央行官網各分支機構的公示信息，2019年共對319家義務機構進行了反洗錢行政處罰，罰款金額合計達到16302.5萬元，其中，203家銀行共獲315張罰單，罰沒金額高達9931萬元①。銀行涉及的罰單數量和金額最高，受到反洗錢處罰的商業銀行多觸犯了“未按照規定履行客戶身份識別義務”、“未按照規定報送可疑交易報告”這兩條關于客戶盡職調查方面的規定，主要原因是商業銀行在開展業務時為了節約對客戶開展盡職調查的成本，并未按規定對客戶開展盡職調查，導致本問題頻次較高。在當前“數字身份”迅速發展的時代背景下，將“數字身份”信息應用于商業銀行個人客戶盡職調查，不僅有助于商業銀行更加及時、便捷、準確地開展盡職調查，構建科學的反洗錢管理體系，還可以應對新的洗錢風險形勢變化，但商業銀行在數字身份應用個人客戶盡職調查方面仍存在不少問題。

（一）缺乏應用數字身份的反洗錢制度安排

當前公安部僅從我國數字身份發展的突出需求出發，依據《電子簽名法》《網絡安全法》《民法總則》等法律法規要求，研發了“網絡電子身份標識（eID）”技術并形成相關標準體系，并將數字身份應用于智慧入住、移動展業、流動人口管理、快遞實名等領域。然而遺憾的是，從eID的應用試點來看，我國尚未將eID應用到反洗錢領域，也缺乏相應的制度安排將數字身份信息應用于商業銀行個人客戶盡職調查。數據身份作為一項創新技術，能有效幫助商業銀行開展客戶盡職調查，提升甄別洗錢等犯罪行為的能力。目前《反洗錢法》《反恐怖主義法》《關于完善反洗錢、反恐怖融資、反逃稅監管體制機制的意見》等反洗錢方面的主要法律法規，對數字身份信息在商業銀行個人客戶盡職調查中的應用未作出明確的規定，特別是未對在客戶盡職調查中使用數字身份信息是否侵犯客戶隱私給出清晰的界定。這使得商業銀行是否使用外部數據以及如何使用外部數據缺乏明確、規范的法律依據，導致商業銀行只能簡單采取與公安部聯網建立的公民身份核查系統對客戶的居民身份證進行簡單核實，并不能利用多元化的信息，通過復雜網絡關聯分析技術識別出潛在的洗錢風險，對高風險客戶、異常交易趨勢和資金變動路徑作出準確判斷。

（二）客戶基本信息界定狹窄，應用數字身份尚無需求

《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》（以下簡稱《辦法》）規定，自然人客戶的“身份基本信息”包括客戶的姓名、性別、國籍、職業、住所地或工作單位地址、聯系方式，身份證件或身份證明文件的種類、號碼和有效期限。本文以安徽省的一些國有商業銀行、股份制商業銀行、城市商業銀行、農村商業銀行為樣本對其個人開戶業務進行調研，并從中挑選具有代表性的4家商業銀行，了解其客戶身份信息資料采集的執行情況（見表1）。

可以看出，在客戶基本信息采集方面，各類商業銀行信息采集要求與《辦法》規定基本上是一致的，并未將個人的線上活動產生的信息納入采集范圍。一方面，《辦法》與商業銀行信息采集要求仍然停留在十幾年前，面對當前互聯網技術的廣泛應用，層出不窮的新洗錢途徑和方式，無論是監管規定的層面還是商業銀行具體實踐的層面都無法滿足現時的反洗錢需要，也與國際上的普遍要求不相符合。另一方面，《辦法》自2007年頒布以來，并未對信息采集范圍進行補充修訂，各家商業銀行在反洗錢工作中并未對數字身份應用產生迫切需求，從而制約商業銀行數字身份的應用及推廣。

（三）數據孤島尚未打破，個人信息安全難以保障

一是目前相關單位之間（包括各家商業銀行、非銀行業金融機構、工商、稅務、海關、第三方支付機構、社交平臺、搜索引擎等）的系統互不聯通，所采集的數據被封存在各自系統中，數據缺乏有效整合。這就使得大量的可用數據被割裂開來，成為信息孤島，信息的共享、反饋難，有價值的數據資源不能發揮更大作用。商業銀行即使能收集到一定數量的個人開戶、存取款、轉賬交易等數據信息，也難以對這些數據進行整合分析，并且無法關聯識別出洗錢團伙的可疑交易。在機構之間數據孤島難打破的情況下，商業銀行被迫調整甚至放棄數字身份信息的應用。二是在現代信息社會下，數字身份信息的應用大大擴展了對個體的了解范圍。如果商業銀行在管理過程中出現差錯，就可能導致個人信息或商業機密被非法竊取。如某個客戶的姓名、身份證號碼、電話號碼、職業、日常行蹤、資金轉賬記錄、互聯網記錄等。若用戶意識到自己的個人信息安全得不到有效保障，就會對數字身份信息的普及產生心理上的排斥。

（四）數字身份應用的綜合人才稀缺

數字身份屬于交叉性學科范疇，要求從業人員既是專業高素質人才又是高復合型人才，需要具備計算機編程、算法建立、統計分析、邏輯推理、數學建模、金融分析等綜合能力。但當前商業銀行專職從事反洗錢的人員相對較少，高學歷人員則更為稀缺，且絕大多數反洗錢從業人員并沒有經過系統的崗位培訓。一是商業銀行的人才儲備以傳統的會計和經濟金融專業為主，人才知識結構較為單一，普遍呈現開發人員不懂業務、業務人員不懂技術的特點，專業而全面的反洗錢人才就更加稀缺。二是在數據綜合分析人員缺少的限制下，商業銀行難以對采集的客戶身份進行整理和分析，數字身份的應用和推廣受到極大影響。

四、“數字身份”應用于客戶盡職調查的相關國外經驗

（一）由政府主導數字識別認證系統

從世界范圍來看，無論是發達國家還是發展中國家對數字身份這類基礎設施都極為重視。與很多企業級應用不同，國家級“數字身份”的源頭需要一個強大的背書和認證機構，這部分工作需要由政府機構來主導進行，因此，“中心化”和“去中心化”并存將是國家級“數字身份”的基本框架形態。當前，印度、愛沙尼亞、新加坡、意大利、英國、新西蘭、挪威、瑞士、瑞典、澳大利亞、加拿大等國家紛紛推出自己的“數字身份系統”，且主要是由政府主導數字身份系統的建立。如在印度，政府早在2010年9月就啟動Aadhaar項目，收集并管理包括國民姓名、住址、生物特征信息等，公共機關及銀行會根據國民ID確認享受社保、開設銀行賬號的申請者是否為本人，截至目前注冊人數超過10億，并已經滲透到日常生活的各個方面。在愛沙尼亞，每個15歲以上的公民都有一個安全的、經過認證的“數字身份”，這被認為是每個公民與生俱來的權利，這個電子身份證可用于醫療保健、電子銀行服務、購物、簽署合同和加密電子郵件等許多事項。在新西蘭，政府在2013年就聯合新西蘭內務部和新西蘭郵政推出RealMe認證服務系統，該系統主要提供兩項服務：RealMe基本賬戶以及RealMe認證賬戶，RealMe基本賬戶主要應用于登錄政府在線服務平臺，RealMe認證賬戶則是一個在線ID，使用范圍包括銀行等在內諸多機構。

（二）立法保障“數字身份”應用于客戶盡職調查

各國數字身份識別系統的主要使用范圍也各不相同，目前主要有意大利、加拿大、新加坡、瑞典和挪威等國家開始將“數字身份”應用到反洗錢領域開展客戶盡職調查。如意大利允許金融機構將數字ID用于客戶盡職調查，并在反洗錢法中明確規定，義務實體可通過以下方式進行數字身份識別和驗證：一是可通過由意大利數字標識機構進行數字身份識別和驗證客戶;二是通過歐盟委員會的電子身份來識別客戶。在加拿大，政府在2018年3月發布了《銀行法案修正案》，允許金融機構在聯邦監管下提供身份識別、認證和核驗服務。2018年5月，加拿大銀行家協會發布《加拿大數字身份認證的未來——聯合身份認證白皮書》，倡導建立一個基于可信信息來解決身份識別問題的“加拿大數字身份體系”，目前該國多家銀行積極與第三方機構展開合作，用戶可以直接通過手機APP驗證身份。在2018年2月，新加坡金融管理局發布公告，支持金融機構在接納新客戶階段運用新科技執行盡職調查程序，允許金融機構通過Mylnfo（由新加坡財政部和政府科技局共同開發的平臺，用于儲存經過政府認證的個人信息）對客戶身份進行非當面驗證。

（三）多種手段維護客戶信息安全

國外許多國家數字化建設進程中面臨眾多安全考驗，不同國家采取各種不同的手段來解決個人信息安全的問題。一是出臺信息保護法規。如歐盟GDPR通用數據保護條例、德國BDSG《聯邦個人資料保護法》、英國DPA2018《數據保護法》等。二是建設良好的數字化國家基礎設施。如愛沙尼亞，將所有的數據文件分散存儲在各個提供數據的機構，并且所有的數據庫必須通過一個系統接入，政府機構有權查看公眾的個人信息，但只能在其權限規定的范圍內查看他有權查看的信息，并且提供了技術手段讓用戶可以知道誰查看了自己的信息，若用戶覺得有問題，可以要求對方必須在30日內說明情況。三是規定使用數字身份信息時需達到相應的安全水平，并且需經過相關部門的授權。如挪威政府允許金融機構使用由外國政府提供或由政府認證的私人數字身份提供者提供的數字身份用作客戶盡職調查，前提是所提供的數字身份要達到最高安全水平。在意大利，銀行、金融服務提供商、保險、信貸報告機構被允許進入數字身份公共系統，但須經財政部授權。

五、對我國商業銀行將數字身份應用于客戶盡職調查的建議

（一）建立健全法律制度，強化數字身份應用于客戶盡職調查的需求

一是建議由中國人民銀行牽頭對《辦法》中基本信息采集部分進行補充修訂，可明確要求將數字身份信息納入基本信息采集范圍或納入補充信息采集范圍，如微信、Facebook存儲的社交信息，支付寶、亞馬遜存儲的交易信息，游戲、視頻軟件存儲的娛樂信息等等，都可以納入信息采集范圍。二是建議由中國人民銀行通過下發專門性監管指引或指導意見的形式，對“數字身份”應用于客戶盡職調查進行戰略部署和整體規劃，明確“數字身份”應用于反洗錢個人客戶盡職調查領域的合規性，并圍繞“數字身份”在客戶盡職調查中可能遇到的法律問題，如對數據泄露風險、系統故障風險的責任界定開展前瞻性調研，從法律層面為數字身份信息的開發應用提供支撐。三是基于目前我國應用eID數字身份的現狀，著眼于未來在金融機構當中廣泛運用的前景，專題研究如何將eID數字身份應用到反洗錢監測當中去。同時，鼓勵有條件的商業銀行主動開發“數字身份系統”，對“數字身份系統”開發及應用過程中可能產生的風險進行研判并及時提示，以推動數字身份信息系統應用的全面推廣。

（二）構建數字身份信息統一平臺，明確查詢權限

一是建議借鑒國際先進經驗。由政府主導在綜合分析各行業數據類別以及數據特點的基礎上，充分依托監管收集掌握、各行業各機構的結構化和非結構化數據信息，統一制定數據存儲的規范和標準，構建跨部門、跨行業、跨機構的數字身份信息統一平臺。平臺應具有完整強大的系統架構、數據收集、數據存儲、計算分析、智能挖掘、查詢運用等綜合功能，能進一步實現監管和各類義務機構在反洗錢監管履職中的協調、共建、共享，為數據的融合整理和分析應用提供便利。二是統一數據脫敏的條件和標準，嚴格規范科技人員數據收集和使用的管理措施和技術手段，有效預防和控制數據泄露風險。在數據安全的前提下，建議該平臺向商業銀行開放數字身份信息查詢權限，為數字身份信息應用于個人客戶盡職調查提供數據基礎。

（三）將“數字身份”應用于商業銀行個人客戶盡職調查的各個環節

一是建議在與個人客戶建立關系時，一方面采集個人客戶的基礎信息，如身份證信息、現住址、職業等，商業銀行應利用數字身份信息系統對所采集的信息進行對比核實，以確認客戶身份真實性;另一方面，采集客戶人臉信息、指紋信息、虹膜信息，并將其錄入數字身份信息系統，以便于在客戶使用電子銀行設備進行業務辦理時能夠準確核實客戶身份，確定客戶為本人辦理。二是建議在日常交易業務辦理時，將各個商業銀行的反洗錢系統與數字身份信息系統相關聯，通過數字身份信息系統來了解客戶的交易目的、資金來源和資金去向等，識別出客戶交易存在是否異常，進而判別客戶是否存在洗錢行為，如果存在可疑交易，則在數字身份信息系統進行風險提示，以便持續開展盡職調查。

（四）加強借鑒和學習，強化人才培養和儲備

政策推動方面。為做好“數字身份”在我國反洗錢監測中運用的前期準備工作，中國人民銀行可組織各金融機構通過成立專題研究團隊，密切跟蹤意大利、瑞典和挪威等國家反洗錢領域應用數字身份信息的情況和進展，學習借鑒這些國家的理念和做法，并結合國情，盡快推動轉化和應用。鼓勵商業銀行與提供數據身份信息服務的第三方機構及高校等研究機構成立聯合研究室、實驗室等方式開展數據、算法、計算機學習等知識研究，為商業銀行開發應用數字身份信息系統奠定實踐基礎。商業銀行可以選拔部分員工重點從事數字身份信息平臺的建設，對其開展關于數字身份信息的專業培訓，增加互聯網、大數據、云計算、人工智能和第三方支付業務等知識，打造專業、高效、守法的數字身份信息平臺建設隊伍，為數字身份信息平臺的實際應用提供人才支持。

（責任編輯：孟潔）

參考文獻：

[1]Julian Kinderlerer，Peter Dabrock，Hille Haker，Herman Nys.Ethics of information and communication technologies[R].Brussels：European Commission，2012.

[2]劉千仞，薛淼，任夢璇，王光全.基于區塊鏈的數字身份應用[J].郵電設計技術，2019（4）：81-85.

[3]嚴則明.eID構筑移動金融安全基石[J].金融電子化，2014（4）：21.

[4]胡傳平.公民網絡電子身份標識eID的發展與應用[J].鐵道警察學院學報，2015（1）：39-42.

[5]賀鑫焱，劉海龍.eID與人社聯合認證簽發電子社保卡的應用實踐[J].網絡空間安全，2018（12）：14-18，40.

[6]郭建偉，燕娜，陳佳宇.EID在網絡應用領域的前景分析[J].天津科技，2018（10）：47-50.

[7]湯俊，王妍，車奕蓉.大數據技術在反洗錢工作中的應用前景[J].海南金融，2016（2）：28-30，46.

[8]陳思，邵楊，蔡真.FATF 數字身份界定及建議對我國的經驗啟示[J].金融發展評論，2018（8）：118—120.

[9]張奕卉，魏凱.區塊鏈重塑數字身份 哪些應用值得期待？[N].人民郵電，2019-04-11.

[10]FATF.Public consultation on FATF draft guidance on digital identity[EB/OL].[2019-10-30].http：//www.fatf-gafi.org/publications/fatfrecommendations/documents/consultation-digital-id-guidance.html.